A L'AIDE INFECTION par SPYSHERRIF (Fond d'écran bleu impossible à changer)
14 réponses
François
Ma configuration avant l'infection par Spysherrif :
Windows XP SP1
Office 2000
Firewall et anti-virus: PC-cillin internet security 12
Bonjour,
Depuis quelques semaines j'ai attrapé un spyware sur mon PC. Il s'appelle
Spysheriff. J'ai depuis un fond d'écran bleu avec un gros message d'avertissement
« Your computer is infected,.... ».
J'ai beaucoup de mal à m'en débarrasser. Pourtant j'ai un firewall et un
anti-virus pc- cillin 12. Mais même en faisant des scans et autre, pc-
cillin ne découvre rien.
J'ai donc essayé d'autre programme comme ccleaner et antispyware de
microsoft. Mais le fond d'écran est toujours là bleu et je ne peux pas le
changer, la fenêtre de changement de fond d'écran est « grisé » !!!! je ne
peux plus agir dessus.
J'ai trouvé sur mon disque un fichier .htm qui était le message inscrit sur
mon fond d'écran. J'ai donc exécuté la commande regedit et j'ai supprimer le
chemin de ce fichier dans wallpaper. Du coup le message n'existe plus, mais
mon fond d'écran reste bleu et je ne peux toujours pas agir dessus pour le
changer..
A noter que quand j'éteint mon PC, juste à la fin de la fermeture de Windows
mon ancien fond d'écran apparaît 2 secondes avant que l'ordinateur ne s'éteigne
complètement. C'est comme si mon fond d'écran d'origine était caché par le
fond bleu. Je ne peux plus changer ma page d'accueil Internet non plus, c'est
le site « http://www.findthewebsiteyouneed.com» qui est en page d'accueil,
et si je le change il revient automatiquement..
Ne savant plus quoi faire j'ai mis à jour XP avec windows update et
maintenant j'ai windows XP SP2. A chaque fois que j'allume mon PC mon
anti-virus (pc- cillin 12) détecte un cheval de troie (WORM PETIK) en disant
qu'il le détruit, seulement il n'est jamais détruit puisqu'il réapparaît à
chaque démarrage...
Bref je ne sais plus quoi faire pour avoir de nouveau accès à mon fond d'écran
et à ma page d'accueil Internet ?????
J'ai entendu parlé du programme Hijackthis, j'ai installé la version
1.99.0.1 mais je ne sais pas m'en servir ni analyser les logs !!!
Quelqu'un peut'il me dire comment utiliser ce programme, puis analyser mon
log pour que je puisse faire un peu le ménage sur mon PC.
"François" a écrit dans le message de news:432738ef$0$22823$
Re-bonsoir,
Voici mon log de hijackthis (je ne peux le mettre en fichier joint sinon mon
mail ne part pas!!! je ne sais pas pourquoi d'ailleurs) Merci encore pour votre aide!!
Fais un copier/coller de ton log là : http://www.hijackthis.de/
Et en quelques secondes tu sauras qui est très méchant. Par contre ne fixe pas ce qui est indiqué d'un gris point d'interrgation jaune et qualifié d'éventuellement méchant. Crée toujours, avant de faire un log, un point de restauration. Sauvegarde les éléments que tu fixes au cas où tu serais allé trop loin dans ton élagage.
-- Jacquouille
"François" <nono@no.fr> a écrit dans le message de
news:432738ef$0$22823$636a15ce@news.free.fr...
Re-bonsoir,
Voici mon log de hijackthis (je ne peux le mettre en fichier joint sinon
mon
mail ne part pas!!! je ne sais pas pourquoi d'ailleurs)
Merci encore pour votre aide!!
Fais un copier/coller de ton log là : http://www.hijackthis.de/
Et en quelques secondes tu sauras qui est très méchant.
Par contre ne fixe pas ce qui est indiqué d'un gris point d'interrgation
jaune et qualifié d'éventuellement méchant.
Crée toujours, avant de faire un log, un point de restauration.
Sauvegarde les éléments que tu fixes au cas où tu serais allé trop loin dans
ton élagage.
"François" a écrit dans le message de news:432738ef$0$22823$
Re-bonsoir,
Voici mon log de hijackthis (je ne peux le mettre en fichier joint sinon mon
mail ne part pas!!! je ne sais pas pourquoi d'ailleurs) Merci encore pour votre aide!!
Fais un copier/coller de ton log là : http://www.hijackthis.de/
Et en quelques secondes tu sauras qui est très méchant. Par contre ne fixe pas ce qui est indiqué d'un gris point d'interrgation jaune et qualifié d'éventuellement méchant. Crée toujours, avant de faire un log, un point de restauration. Sauvegarde les éléments que tu fixes au cas où tu serais allé trop loin dans ton élagage.
-- Jacquouille
Claude LaFrenière
Bonjour *François* :
Re-bonsoir,
Voici mon log de hijackthis. Désolé mais je ne peux l'en,voyer en fichier joint le mail ne part pas sinon Merci encore pour votre aide!!
Bien. Je regarde ça et vous donne des nouvelles bientôt.
A+
:)
-- Claude LaFrenière [MVP] :-{ ) http://viadresse.com?39135017 «My Principal Design Was To Inform, Not To Amuse Thee.» Lemuel Gulliver, The Travels (IV:12)
Bonjour *François* :
Re-bonsoir,
Voici mon log de hijackthis. Désolé mais je ne peux l'en,voyer en fichier
joint le mail ne part pas sinon
Merci encore pour votre aide!!
Bien. Je regarde ça et vous donne des nouvelles bientôt.
A+
:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017
«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)
Voici mon log de hijackthis. Désolé mais je ne peux l'en,voyer en fichier joint le mail ne part pas sinon Merci encore pour votre aide!!
Bien. Je regarde ça et vous donne des nouvelles bientôt.
A+
:)
-- Claude LaFrenière [MVP] :-{ ) http://viadresse.com?39135017 «My Principal Design Was To Inform, Not To Amuse Thee.» Lemuel Gulliver, The Travels (IV:12)
Claude LaFrenière
Bonjour *François* :
Ordinateur infecté par *TROJAN - 180SearchAssistant et Adware.SP2Update ou WOOTBOT.BS et Spyware.Dotcomtoolbar*
Certains services sont nécessaires pour ta configuration Démarrés ET en automatique Certains sont optionnel et sont utilisés de temps à autres en manuel Certains services sont inutiles manuel ou désactivés
Ceux-là tu doit toujours les avoir... C:WINDOWSsystem32svchost.exe -k DcomLaunch C:WINDOWSsystem32svchost.exe -k rpcss C:WINDOWSSystem32svchost.exe -k netsvcs
puis C:WINDOWSsystem32svchost -k HTTPFilter correspond au service HTTP SSL : machin de sécurité manuel ou automatique
C:WINDOWSsystem32svchost -k LocalService correspond à des trucs tel que WebClient et autres bidules
C:WINDOWSsystem32svchost -k Network Service correspond à des trucs de réseau ou à des trucs tel que Client DNS : inutile.
C:WINDOWSSystem32svchost.exe -k imgsvc correspond à Acquisition d'image Windows (WIA)
Des pistes par là: http://climenole.serendipia.net/archives/3-La-Configuration-des-Services-de-Windows-XP.html#extended --------------------------------------------------------- 2) Processus correspondant au service "Service de la passerelle de la couche Application" qui est le jumeau du service: "Pare-feu Windows / Partage de connexion Internet" C:WINDOWSSystem32alg.exe
Nécessaire si tu as le Pare-feu de W xp. Si tu utilise un pare-feu tiers cela n'est sans doute pas nécessaire. À toi d'y voir. [3] -----------------------------------------------------------
3) ********************************************************** *Kill ce processus = Adware.SP2Update ou WOOTBOT.BS!!!* C:windowssp2update00.exe [1] ============================================================ *Démarrages*
-------------------------- Ça prend un fichier HOSTS.
Voici celui des MVPs anglophones: http://www.mvps.org/winhelp2002/ Mis à jour régulièrement et documenté.
HostMan: http://www.abelhadigital.com/ [le meilleur! Mises à jours , fusions,log, etc.] et/ou WinPatrol: http://www.winpatrol.com/download.html ----------------------------------------------------------------- 6) Intel Graphics Accelerator Helper Pas nécessaire de lancer ça tout le temps. Au besoin seulement. O4 - HKLM..Run: [IgfxTray] C:WINDOWSSystem32igfxtray.exe [2] ----------------------------------------------------------------- 7) Intel Hotkey Pas nécessaire de lancer ça tout le temps. Au besoin seulement O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe [2] ----------------------------------------------------------------- 8) (in)utilitaire Sonic-Veritas Pas nécessaire de lancer ça . désactiver ou supprimer O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichierscommunsSonicUpdate Managersgtray.exe" /r [2] ----------------------------------------------------------------- 9) (in)utilitaire "Dell DVD" Lancer au besoin O4 - HKLM..Run: [DVDSentry] C:WINDOWSSystem32DSentry.exe [2] ----------------------------------------------------------------- (in)utilitaire Apple .... Pas besoin de lancer ça tout le temps Au besoin... O4 - HKLM..Run: [iPodManager] C:Program FilesiPodbiniPodManager.exe [2] ------------------------------------------------------------------ 10) (inn)utilitaire " MusicMatch Jukebox" Lancer au besoin O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCHJukeboxmm_tray.exe [2] ------------------------------------------------------------------- 11) Bidule de jeux WildTangeant O4 - HKLM..Run: [WildTangent CDA] "C:ProgramFilesWildTangentAppsCDAGameDrvr.exe" /startup "C:ProgramFilesWildTangentAppsCDAcdaEngine0500.dll" [2] désactiver ou [1] à votre choix... ------------------------------------------------------------------- 12) Machin de mise à jour automatique de Real Player. Pas nécessaire. Faire les mises à jour manuellement. O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichierscommunsRealUpdate_OBrealsched.exe" -osboot [2] ou [1] -------------------------------------------------------------------
14) *************************************************************** * Adware.SP2Update ou WOOTBOT.BS* O4 - HKLM..Run: [sp2update] C:windowssp2update00.exe [1] --------------------------------------------------------------- 15) Service IPod : en démarrage manuel O23 - Service: iPod Service (iPodService) - Apple Computer, Inc - C:Program FilesiPodbiniPodService.exe [3] --------------------------------------------------------------- =================================================================== outils pour te faciliter les choses:
Autorun de Mark Russinovich: http://www.sysinternals.com/ntw2k/f.../autoruns.shtml TOUT ce qui est lancé au démarrage. Outil puissant : ne désactive ou ne supprime rien sans savoir...
Process Explorer de Mark Russinovich: (un gestionnaire des tâches amélioré) http://www.sysinternals.com/ntw2k/f...e/procexp.shtml
TCPView de Mark Russinovich (pour voir toutes les connection "live" ) http://www.sysinternals.com/Utilities/TcpView.html
Quelques pistes sur la sécurité: http://climenole.serendipia.net/archives/5-Quelques-liens-utiles-pour-la-securite-de-Windows-XP.html#extended
Tiens-nous au courant.
:) -- Claude LaFrenière [MVP] :-{ ) http://viadresse.com?39135017 «My Principal Design Was To Inform, Not To Amuse Thee.» Lemuel Gulliver, The Travels (IV:12)
Bonjour *François* :
Ordinateur infecté par *TROJAN - 180SearchAssistant et Adware.SP2Update ou WOOTBOT.BS et Spyware.Dotcomtoolbar*
Certains services sont nécessaires pour ta configuration
Démarrés ET en automatique
Certains sont optionnel et sont utilisés de temps à autres
en manuel
Certains services sont inutiles
manuel ou désactivés
Ceux-là tu doit toujours les avoir...
C:WINDOWSsystem32svchost.exe -k DcomLaunch
C:WINDOWSsystem32svchost.exe -k rpcss
C:WINDOWSSystem32svchost.exe -k netsvcs
puis
C:WINDOWSsystem32svchost -k HTTPFilter
correspond au service HTTP SSL : machin de sécurité
manuel ou automatique
C:WINDOWSsystem32svchost -k LocalService
correspond à des trucs tel que WebClient et autres bidules
C:WINDOWSsystem32svchost -k Network Service
correspond à des trucs de réseau ou à des trucs tel que Client DNS : inutile.
C:WINDOWSSystem32svchost.exe -k imgsvc
correspond à Acquisition d'image Windows (WIA)
Des pistes par là:
http://climenole.serendipia.net/archives/3-La-Configuration-des-Services-de-Windows-XP.html#extended
---------------------------------------------------------
2)
Processus correspondant au service
"Service de la passerelle de la couche Application"
qui est le jumeau du service:
"Pare-feu Windows / Partage de connexion Internet"
C:WINDOWSSystem32alg.exe
Nécessaire si tu as le Pare-feu de W xp.
Si tu utilise un pare-feu tiers cela n'est sans doute pas nécessaire.
À toi d'y voir.
[3]
-----------------------------------------------------------
3)
**********************************************************
*Kill ce processus = Adware.SP2Update ou WOOTBOT.BS!!!*
C:windowssp2update00.exe
[1]
============================================================
*Démarrages*
--------------------------
Ça prend un fichier HOSTS.
Voici celui des MVPs anglophones:
http://www.mvps.org/winhelp2002/
Mis à jour régulièrement et documenté.
HostMan:
http://www.abelhadigital.com/
[le meilleur! Mises à jours , fusions,log, etc.]
et/ou
WinPatrol:
http://www.winpatrol.com/download.html
-----------------------------------------------------------------
6)
Intel Graphics Accelerator Helper
Pas nécessaire de lancer ça tout le temps.
Au besoin seulement.
O4 - HKLM..Run: [IgfxTray] C:WINDOWSSystem32igfxtray.exe
[2]
-----------------------------------------------------------------
7)
Intel Hotkey
Pas nécessaire de lancer ça tout le temps.
Au besoin seulement
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe
[2]
-----------------------------------------------------------------
8)
(in)utilitaire Sonic-Veritas
Pas nécessaire de lancer ça .
désactiver ou supprimer
O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichierscommunsSonicUpdate Managersgtray.exe" /r
[2]
-----------------------------------------------------------------
9)
(in)utilitaire "Dell DVD"
Lancer au besoin
O4 - HKLM..Run: [DVDSentry] C:WINDOWSSystem32DSentry.exe
[2]
-----------------------------------------------------------------
(in)utilitaire Apple ....
Pas besoin de lancer ça tout le temps
Au besoin...
O4 - HKLM..Run: [iPodManager] C:Program FilesiPodbiniPodManager.exe
[2]
------------------------------------------------------------------
10)
(inn)utilitaire " MusicMatch Jukebox"
Lancer au besoin
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCHJukeboxmm_tray.exe
[2]
-------------------------------------------------------------------
11)
Bidule de jeux WildTangeant
O4 - HKLM..Run: [WildTangent CDA] "C:ProgramFilesWildTangentAppsCDAGameDrvr.exe" /startup "C:ProgramFilesWildTangentAppsCDAcdaEngine0500.dll"
[2] désactiver ou [1] à votre choix...
-------------------------------------------------------------------
12)
Machin de mise à jour automatique de Real Player.
Pas nécessaire. Faire les mises à jour manuellement.
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichierscommunsRealUpdate_OBrealsched.exe" -osboot
[2] ou [1]
-------------------------------------------------------------------
14) ***************************************************************
* Adware.SP2Update ou WOOTBOT.BS*
O4 - HKLM..Run: [sp2update] C:windowssp2update00.exe
[1]
---------------------------------------------------------------
15)
Service IPod : en démarrage manuel
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc - C:Program FilesiPodbiniPodService.exe
[3]
---------------------------------------------------------------
===================================================================
outils pour te faciliter les choses:
Autorun de Mark Russinovich:
http://www.sysinternals.com/ntw2k/f.../autoruns.shtml
TOUT ce qui est lancé au démarrage.
Outil puissant : ne désactive ou ne supprime rien sans savoir...
Process Explorer de Mark Russinovich:
(un gestionnaire des tâches amélioré)
http://www.sysinternals.com/ntw2k/f...e/procexp.shtml
TCPView de Mark Russinovich
(pour voir toutes les connection "live" )
http://www.sysinternals.com/Utilities/TcpView.html
Quelques pistes sur la sécurité:
http://climenole.serendipia.net/archives/5-Quelques-liens-utiles-pour-la-securite-de-Windows-XP.html#extended
Tiens-nous au courant.
:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017
«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)
Certains services sont nécessaires pour ta configuration Démarrés ET en automatique Certains sont optionnel et sont utilisés de temps à autres en manuel Certains services sont inutiles manuel ou désactivés
Ceux-là tu doit toujours les avoir... C:WINDOWSsystem32svchost.exe -k DcomLaunch C:WINDOWSsystem32svchost.exe -k rpcss C:WINDOWSSystem32svchost.exe -k netsvcs
puis C:WINDOWSsystem32svchost -k HTTPFilter correspond au service HTTP SSL : machin de sécurité manuel ou automatique
C:WINDOWSsystem32svchost -k LocalService correspond à des trucs tel que WebClient et autres bidules
C:WINDOWSsystem32svchost -k Network Service correspond à des trucs de réseau ou à des trucs tel que Client DNS : inutile.
C:WINDOWSSystem32svchost.exe -k imgsvc correspond à Acquisition d'image Windows (WIA)
Des pistes par là: http://climenole.serendipia.net/archives/3-La-Configuration-des-Services-de-Windows-XP.html#extended --------------------------------------------------------- 2) Processus correspondant au service "Service de la passerelle de la couche Application" qui est le jumeau du service: "Pare-feu Windows / Partage de connexion Internet" C:WINDOWSSystem32alg.exe
Nécessaire si tu as le Pare-feu de W xp. Si tu utilise un pare-feu tiers cela n'est sans doute pas nécessaire. À toi d'y voir. [3] -----------------------------------------------------------
3) ********************************************************** *Kill ce processus = Adware.SP2Update ou WOOTBOT.BS!!!* C:windowssp2update00.exe [1] ============================================================ *Démarrages*
-------------------------- Ça prend un fichier HOSTS.
Voici celui des MVPs anglophones: http://www.mvps.org/winhelp2002/ Mis à jour régulièrement et documenté.
HostMan: http://www.abelhadigital.com/ [le meilleur! Mises à jours , fusions,log, etc.] et/ou WinPatrol: http://www.winpatrol.com/download.html ----------------------------------------------------------------- 6) Intel Graphics Accelerator Helper Pas nécessaire de lancer ça tout le temps. Au besoin seulement. O4 - HKLM..Run: [IgfxTray] C:WINDOWSSystem32igfxtray.exe [2] ----------------------------------------------------------------- 7) Intel Hotkey Pas nécessaire de lancer ça tout le temps. Au besoin seulement O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe [2] ----------------------------------------------------------------- 8) (in)utilitaire Sonic-Veritas Pas nécessaire de lancer ça . désactiver ou supprimer O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichierscommunsSonicUpdate Managersgtray.exe" /r [2] ----------------------------------------------------------------- 9) (in)utilitaire "Dell DVD" Lancer au besoin O4 - HKLM..Run: [DVDSentry] C:WINDOWSSystem32DSentry.exe [2] ----------------------------------------------------------------- (in)utilitaire Apple .... Pas besoin de lancer ça tout le temps Au besoin... O4 - HKLM..Run: [iPodManager] C:Program FilesiPodbiniPodManager.exe [2] ------------------------------------------------------------------ 10) (inn)utilitaire " MusicMatch Jukebox" Lancer au besoin O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCHJukeboxmm_tray.exe [2] ------------------------------------------------------------------- 11) Bidule de jeux WildTangeant O4 - HKLM..Run: [WildTangent CDA] "C:ProgramFilesWildTangentAppsCDAGameDrvr.exe" /startup "C:ProgramFilesWildTangentAppsCDAcdaEngine0500.dll" [2] désactiver ou [1] à votre choix... ------------------------------------------------------------------- 12) Machin de mise à jour automatique de Real Player. Pas nécessaire. Faire les mises à jour manuellement. O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichierscommunsRealUpdate_OBrealsched.exe" -osboot [2] ou [1] -------------------------------------------------------------------
14) *************************************************************** * Adware.SP2Update ou WOOTBOT.BS* O4 - HKLM..Run: [sp2update] C:windowssp2update00.exe [1] --------------------------------------------------------------- 15) Service IPod : en démarrage manuel O23 - Service: iPod Service (iPodService) - Apple Computer, Inc - C:Program FilesiPodbiniPodService.exe [3] --------------------------------------------------------------- =================================================================== outils pour te faciliter les choses:
Autorun de Mark Russinovich: http://www.sysinternals.com/ntw2k/f.../autoruns.shtml TOUT ce qui est lancé au démarrage. Outil puissant : ne désactive ou ne supprime rien sans savoir...
Process Explorer de Mark Russinovich: (un gestionnaire des tâches amélioré) http://www.sysinternals.com/ntw2k/f...e/procexp.shtml
TCPView de Mark Russinovich (pour voir toutes les connection "live" ) http://www.sysinternals.com/Utilities/TcpView.html
Quelques pistes sur la sécurité: http://climenole.serendipia.net/archives/5-Quelques-liens-utiles-pour-la-securite-de-Windows-XP.html#extended
Tiens-nous au courant.
:) -- Claude LaFrenière [MVP] :-{ ) http://viadresse.com?39135017 «My Principal Design Was To Inform, Not To Amuse Thee.» Lemuel Gulliver, The Travels (IV:12)
Claude LaFrenière
Bonjour *Jacquouille la Fripouille* :
Fais un copier/coller de ton log là : http://www.hijackthis.de/ Et en quelques secondes tu sauras qui est très méchant.
Truc pas fiable. De toute façon la réponse à déjà été donnée.
:)
-- Claude LaFrenière [MVP] :-{ ) http://viadresse.com?39135017 «My Principal Design Was To Inform, Not To Amuse Thee.» Lemuel Gulliver, The Travels (IV:12)
Bonjour *Jacquouille la Fripouille* :
Fais un copier/coller de ton log là : http://www.hijackthis.de/
Et en quelques secondes tu sauras qui est très méchant.
Truc pas fiable.
De toute façon la réponse à déjà été donnée.
:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017
«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)
Fais un copier/coller de ton log là : http://www.hijackthis.de/ Et en quelques secondes tu sauras qui est très méchant.
Truc pas fiable. De toute façon la réponse à déjà été donnée.
:)
-- Claude LaFrenière [MVP] :-{ ) http://viadresse.com?39135017 «My Principal Design Was To Inform, Not To Amuse Thee.» Lemuel Gulliver, The Travels (IV:12)